Kaspersky Lab - Te contamos sobre como protegerte del Ransomware y qué hacer ante una encriptación

530 views

‎ A veces, a pesar de todas las precauciones, entra una infección. Ahora es el momento de la cabeza fría y las acciones rápidas y decisivas. Su respuesta le ayudará a determinar si el incidente se convierte en un dolor de cabeza mortal para la empresa o se puede llegar a revertir con paciencia y estrategia. ‎

‎A medida que avanza en el proceso de recuperación, no se olvide de documentar todas sus acciones para la transparencia a los ojos de los empleados y el mundo en general. Y tratar de preservar cualquier evidencia que pueda del ransomware para los esfuerzos posteriores para localizar cualquier otra herramienta maliciosa dirigida a su sistema. Eso significa guardar registros y otros rastros de malware que pueden ser útiles durante la investigación posterior.‎

‎Primera parte: Localizar y aislar‎

‎ ‎Comience por buscar equipos y segmentos de red infectados en la infraestructura corporativa, y aíslelos inmediatamente del resto de la red para limitar la contaminación. ‎

‎Si la empresa no tiene muchos equipos, comience con antivirus, ‎EDR‎ y ‎‎cortafuegos‎ ‎trozas‎‎. Alternativamente, para implementaciones muy limitadas, camine físicamente de máquina en máquina y compruébelas. ‎

‎Si estamos hablando de muchos equipos, querrá analizar los eventos y los registros en el ‎SIEM‎ sistema. Eso no eliminará todo el trabajo posterior, pero es un buen comienzo para esbozar su panorama general. ‎

‎Después de aislar las máquinas infectadas de la red, cree imágenes de disco de ellas y, si es posible, deje estas máquinas solas hasta que termine la investigación. (Si la compañía no puede permitirse el tiempo de inactividad de la computadora, haga imágenes de todos modos y guarde el volcado de memoria para la investigación).‎

‎Segunda parte: Analizar y actuar‎

‎Después de haber comprobado el perímetro, ahora tiene una lista de máquinas con discos llenos de archivos cifrados, además de imágenes de esos discos. Todos están desconectados de la red y ya no representan una amenaza. Puede ‎‎ iniciar el proceso de recuperación de inmediato, pero primero, consulte la seguridad del resto de la red.‎

‎Ahora es el momento de analizar el ransomware, averiguar cómo llegó y qué grupos suelen usarlo - es decir, iniciar el proceso de búsqueda de amenazas. Ransomware no simplemente aparece; un ‎‎Cayendo‎‎rata‎‎Cargador troyano‎‎, o algo de esa calaña lo instaló. Hay que erradicar ese algo.‎

‎Para ello, realice una investigación interna. Cavar alrededor de los registros para determinar qué equipo fue golpeado primero y por qué ese equipo no pudo detener la embestida.‎

‎Basado en los resultados de la investigación, deshacerse de la red de malware sigiloso avanzado y, si es posible, reiniciar las operaciones comerciales. Entonces, averiguar lo que lo habría detenido: ¿Qué faltaba en términos de software de seguridad? Tapa esos huecos.‎

‎A continuación, avise a los empleados sobre lo que sucedió, insótelos sobre cómo detectar y evitar tales trampas, y hágles saber que la capacitación seguirá.‎

‎Finalmente, de aquí en adelante, instale actualizaciones y parches a tiempo. Las actualizaciones y la administración de revisiones son una prioridad crítica para los administradores de TI; el malware a menudo se arrastra a través de vulnerabilidades para las que los parches ya están disponibles.‎

‎Tercera parte: Limpiar y restaurar‎

‎En este punto, ha gestionado la amenaza a la red, así como el agujero que llegó a través de. Ahora, dirija su atención a las computadoras que están fuera de servicio. Si ya no son necesarios para la investigación, formatee las unidades y, a continuación, restaure los datos de la copia de seguridad limpia más reciente.‎

‎Si, sin embargo, usted no tiene copia de seguridad, entonces usted tendrá que tratar de descifrar lo que está en las unidades. Comience en Kaspersky's ‎‎Sin rescate‎‎ sitio web, donde un descifrador ya puede existir para el ransomware que encontró - y si no lo hace, póngase en contacto con su proveedor de ciberseguridad en caso de que la ayuda está disponible. En cualquier caso, no elimine los archivos cifrados. Nuevos descifradores aparecen de vez en cuando, y podría haber uno mañana; eso ‎‎no sería la primera vez‎.

‎Independientemente de los detalles, no pagues. Usted estaría patrocinando la actividad criminal, y de todos modos, las posibilidades de conseguir sus datos descifrados no son grandes. Además de bloquear sus datos, los atacantes ransomware pueden tener ‎‎lo robó con fines de chantaje‎‎. Por último, pagar a los ciberdelincuentes codiciosos les anima a pedir más. En algunos ‎‎Casos‎‎, apenas unos meses después de que les pagaran, los intrusos volvieron a exigir más dinero, y amenazaron con publicarlo todo a menos que lo conseguieran.‎

‎En general, considere cualquier dato robado de conocimiento público y prepárese para lidiar con la fuga. Tarde o temprano, tendrá que hablar del incidente: con empleados, accionistas, agencias gubernamentales y, muy posiblemente, periodistas. ‎‎Apertura y honestidad‎‎ son importantes y serán apreciados.‎

‎Cuarta parte: Tomar medidas preventivas‎

‎Un ciberincidente importante siempre equivale a un gran problema, y la prevención es la mejor cura. Prepárese con anticipación para lo que podría salir mal:‎

  • ‎instalar ‎‎protección fiable‎‎ en todos los puntos finales de la red (incluidos los teléfonos inteligentes);‎
  • ‎Segmente la red y amuete con firewalls bien configurados; mejor aún, utilice un firewall de próxima generación (NGFW) o ‎‎un producto similar‎‎ que recibe automáticamente datos sobre nuevas amenazas;‎
  • ‎Mira más allá del antivirus a potente ‎‎herramientas de búsqueda de amenazas‎;
  • ‎Implementar un sistema SIEM (para grandes empresas) para alertas inmediatas;‎
  • ‎Capacitar a los empleados en la conciencia de la ciberseguridad con regularidad ‎‎interactivo‎‎ Sesiones.‎

Fuente: Kaspersky Blog 

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.